Поделиться через

Улучшенная фильтрация соединителей в Exchange Online

  • Статья

Правильно настроенные входящие соединители являются надежным источником входящей почты в Microsoft 365 или Office 365. Но в сложных сценариях маршрутизации, когда электронная почта для домена Microsoft 365 или Office 365 сначала направляется в другое место, источник входящего соединителя обычно не является истинным индикатором того, откуда пришло сообщение. К сложным сценариям маршрутизации относятся:

  • Сторонние службы облачной фильтрации
  • Управляемые модули фильтрации
  • Гибридные среды (например, локальная среда Exchange)

Маршрутизация почты в сложных сценариях выглядит следующим образом:

Схема потока обработки почты для сложных сценариев маршрутизации.

Как видите, сообщение принимает исходный IP-адрес службы, устройства или локальной организации Exchange, которая находится перед Microsoft 365. Сообщение поступает в Microsoft 365 с другим исходным IP-адресом. Это поведение не является ограничением Microsoft 365; Это просто то, как работает SMTP.

В этих сценариях вы по-прежнему можете максимально эффективно использовать Exchange Online Protection (EOP) и Microsoft Defender для Office 365 с помощью расширенной фильтрации для соединителей (также известной как пропустить список).

После включения расширенной фильтрации для соединителей маршрутизация почты в сложных сценариях маршрутизации выглядит следующим образом:

Схема потока обработки почты для сложных сценариев маршрутизации после включения функции

Как видите, расширенная фильтрация соединителей позволяет сохранять ip-адреса и сведения об отправителе.

В таких сценариях маршрутизации печать ARC обычно используется для поддержания целостности исходных данных и сообщений с помощью DKIM. Однако DKIM часто завершается сбоем, так как многие службы, изменяющие сообщение, не поддерживают ARC. Чтобы помочь в таких ситуациях, расширенная фильтрация для соединителей не только сохраняет IP-адрес из предыдущего прыжка, но и интеллектуально восстанавливается после сбоев сигнатур DKIM. Это поведение помогает сообщениям проходить проверку подлинности через фильтры спуфинга интеллектуального анализа.

Включение усиленной фильтрации для соединителей имеет следующие преимущества.

  • Улучшена точность стека фильтрации Майкрософт и моделей машинного обучения, которые включают:
    • Уменьшение ложноположительных результатов в DMARC из-за изменения содержимого и отсутствия уплотнения ARC.
    • Эвристическая кластеризация
    • Защита от спуфингов
    • Защита от фишинга
  • Улучшенные возможности после нарушения в автоматизированном расследовании и реагировании (AIR)
  • Возможность явной проверки подлинности электронной почты (SPF, DKIM и DMARC) для проверки репутации отправляющего домена для олицетворения и обнаружения подделок. Дополнительные сведения о явной и неявной проверке подлинности электронной почты см. в разделе Проверка подлинности электронной почты в EOP.

Дополнительные сведения см. в разделе Что происходит при включении расширенной фильтрации для соединителей? далее в этой статье.

Используйте процедуры, описанные в этой статье, чтобы включить расширенную фильтрацию для соединителей на отдельных соединителях. Дополнительные сведения о соединителях в Exchange Online см. в разделе Настройка потока обработки почты с помощью соединителей.

Примечание.

  • Мы всегда рекомендуем указывать запись MX на Microsoft 365 или Office 365, чтобы снизить сложность. Например, некоторые узлы могут сделать недействительными подписи DKIM, вызывая ложные срабатывания. Если за защиту электронной почты отвечают две системы, определить, какая из них действовала с сообщением, сложнее.
  • Наиболее распространенными сценариями, для которых предназначена расширенная фильтрация, являются гибридные среды; однако почта, предназначенная для локальных почтовых ящиков (исходящая почта), по-прежнему не будет фильтроваться EOP. Единственный способ получить полное сканирование EOP во всех почтовых ящиках — переместить запись MX в Microsoft 365 или Office 365.
  • За исключением сценариев линейной входящей маршрутизации, в которых MX указывает на локальные серверы, добавление ip-адресов локального гибридного сервера в расширенный список пропуска фильтра не поддерживается в сценарии централизованного потока обработки почты. Это может привести к тому, что EOP сканирует сообщения электронной почты локального гибридного сервера, добавляет значение заголовка компаутов и может привести к тому, что EOP помечает сообщение как спам. В настроенной гибридной среде нет необходимости добавлять их в список пропусков. Список пропусков в основном предназначен для сценариев, когда перед клиентом Microsoft 365 есть стороннее устройство или фильтр. Дополнительные сведения см. в статье Mx record points to third-party spam filtering.
  • Не размещайте другую службу сканирования или узел после EOP. Когда EOP сканирует сообщение, будьте осторожны, чтобы не разорвать цепочку доверия, перенаправив почту через любой сервер, отличный от Exchange, который не является частью вашей облачной или локальной организации. Когда сообщение в конечном итоге поступает в целевой почтовый ящик, заголовки из первого вердикта сканирования могут быть не точными. Централизованный почтовый транспорт не следует использовать для введения серверов, отличных от Exchange, в путь потока обработки почты.

Настройка расширенной фильтрации для соединителей

Что нужно знать перед началом работы

  • Включите все доверенные IP-адреса, связанные с локальными узлами, или сторонние фильтры, отправляющие сообщения электронной почты в организацию Microsoft 365 или Office 365, включая промежуточные прыжки с общедоступными IP-адресами. Чтобы получить эти IP-адреса, обратитесь к документации или поддержке, предоставляемой службой.

  • Если у вас есть правила потока обработки почты (также известные как правила транспорта), которые устанавливают для SCL значение -1 для сообщений, проходящих через этот соединитель, эти правила потока обработки почты необходимо отключить после включения расширенной фильтрации для соединителей.

  • Чтобы открыть портал Microsoft Defender, перейдите по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Расширенной фильтрации для соединителей, используйте .https://security.microsoft.com/skiplisting

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Сведения о подключении к Exchange Online Protection PowerShell см. в статье Подключение к Exchange Online Protection PowerShell.

  • Чтобы настроить расширенную фильтрацию для соединителей, необходимо быть членом одной из следующих групп ролей:

  • Расширенная фильтрация для соединителей не поддерживается в гибридных средах, использующих централизованный почтовый транспорт.

Использование портала Microsoft Defender для настройки расширенной фильтрации для соединителей входящего соединителя

  1. На портале Microsoft Defender перейдите в раздел Политики совместной работы> электронной почты && Правила> Политикиугроз, раздел >Правила, раздел >Расширенная фильтрация.

  2. На странице Расширенная фильтрация для соединителей выберите входящий соединитель, который нужно настроить, щелкнув имя.

  3. В появившемся всплывающем окне сведений о соединителе настройте следующие параметры:

    • IP-адреса, которые нужно пропустить: выберите одно из следующих значений:

      • Отключить расширенную фильтрацию для соединителей. Отключите расширенную фильтрацию для соединителей на соединителях.

      • Автоматическое обнаружение и пропуск последнего IP-адреса. Рекомендуется использовать это значение, если необходимо пропустить только последний источник сообщения.

      • Пропустите эти IP-адреса, связанные с соединителем. Выберите это значение, чтобы настроить список IP-адресов для пропуска.

        Важно!

        • Ввод IP-адресов Microsoft 365 или Office 365 не поддерживается. Не используйте эту функцию для компенсации проблем, возникающих из-за неподдерживаемых путей маршрутизации электронной почты. Будьте осторожны и ограничьте диапазоны IP-адресов только системами электронной почты, которые будут обрабатывать сообщения вашей организации до Microsoft 365 или Office 365.
        • Не поддерживается ввод любого адреса замыкания на себя (127.0.0.0/8) или частного IP-адреса, определенного в RFC 1918 (10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16). Расширенная фильтрация автоматически обнаруживает и пропускает адреса замыкания на себя и частные IP-адреса. Если предыдущий прыжок является почтовым сервером, который находится за устройством преобразования сетевых адресов (NAT), который назначает частные IP-адреса, рекомендуется настроить NAT для назначения общедоступного IP-адреса почтовому серверу.

    • Если выбран параметр Автоматически определять и пропустить последний IP-адрес или Пропустить эти IP-адреса, связанные с соединителем, появится раздел Применить к этим пользователям :

      • Применить ко всей организации. Мы рекомендуем использовать это значение после тестирования функции на нескольких получателях.

      • Применить к небольшому набору пользователей. Выберите это значение, чтобы настроить список адресов электронной почты получателей, к которым применяется расширенная фильтрация соединителей. Мы рекомендуем использовать это значение в качестве начальной проверки функции.

        Примечание.

        • Это значение действует только для фактических адресов электронной почты, которые вы указали. Например, если у пользователя есть пять адресов электронной почты, связанных с его почтовым ящиком (также известные как прокси-адреса), необходимо указать здесь все пять адресов электронной почты. В противном случае сообщения, отправленные на четыре других адреса электронной почты, будут проходить обычную фильтрацию.
        • В гибридных средах, где входящая почта проходит через локальный Exchange, необходимо указать targetAddress объекта MailUser . Например, michelle@contoso.mail.onmicrosoft.com.
        • Это значение действует только для сообщений, в которых указаны все получатели. Если сообщение содержит получателей , не указанных здесь, обычная фильтрация применяется ко всем получателям сообщения.

      • Применить ко всей организации. Мы рекомендуем использовать это значение после тестирования функции на нескольких получателях.

  4. Когда вы закончите, выберите Сохранить.

Использование Exchange Online PowerShell или Exchange Online Protection PowerShell для настройки расширенной фильтрации для соединителей входящего соединителя

Чтобы настроить расширенную фильтрацию для соединителей входящего соединителя, используйте следующий синтаксис:

Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]

  • EFSkipLastIP: допустимые значения:

    • $true: пропускается только последний источник сообщения.
    • $false: пропустите IP-адреса, указанные параметром EFSkipIPs . Если IP-адреса там не указаны, расширенная фильтрация для соединителей отключена на входящего соединителя. Значение по умолчанию — $false.

  • EFSkipIPs: конкретные IP-адреса, которые следует пропустить, если значение параметра EFSkipLastIP равно $false. Допустимые значения:

    • Один IP-адрес: например. 192.168.1.1
    • Диапазон IP-адресов: например, 192.168.1.0-192.168.1.31.
    • IP-адрес маршрутизации Inter-Domain (CIDR): например. 192.168.1.0/25

    Ограничения на IP-адреса см. в разделе Пропуск этих IP-адресов, связанных с описанием соединителя в предыдущем разделе.

  • EFUsers: разделенные запятыми адреса электронной почты получателей, к которым требуется применить расширенную фильтрацию для соединителей. Ограничения для отдельных получателей см. в описании применения к небольшому набору пользователей в предыдущем разделе. Значение по умолчанию пустое ($null), что означает, что расширенная фильтрация соединителей применяется ко всем получателям.

В этом примере входящий соединитель с именем From Anti-Spam Service настраивается со следующими параметрами:

  • Расширенная фильтрация для соединителей включена на соединителе, а IP-адрес последнего источника сообщений пропускается.
  • Расширенная фильтрация для соединителей применяется только к адресам электронной почты michelle@contoso.comполучателя , laura@contoso.comи julia@contoso.com.
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"

Примечание. Чтобы отключить расширенную фильтрацию для соединителей, используйте значение $false параметра EFSkipLastIP .

Подробные сведения о синтаксисе и параметрах см. в разделе Set-InboundConnector.

Что происходит при включении расширенной фильтрации для соединителей?

В следующей таблице описано, как выглядят подключения до и после включения расширенной фильтрации для соединителей.

Функция До включения расширенной фильтрации После включения расширенной фильтрации
Проверка подлинности домена электронной почты Неявное использование технологии защиты от подделки. Явно, на основе записей SPF, DKIM и DMARC исходного домена в DNS.
X-MS-Exchange-ExternalOriginalInternetSender Недоступно Этот заголовок пометится, если перечисление пропуска прошло успешно, включено в соединителе и происходит совпадение получателей. Значение этого поля содержит сведения о истинном исходном адресе.
X-MS-Exchange-SkipListedInternetSender Недоступно Этот заголовок пометится, если в соединителе был включен параметр пропуска, независимо от того, соответствует ли получатель. Значение этого поля содержит сведения о истинном исходном адресе. Этот заголовок используется в основном для создания отчетов и помогает понять сценарии WhatIf.

Улучшения в фильтрации и отчетности можно просмотреть с помощью отчета о состоянии защиты от угроз на портале Microsoft Defender. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз.

См. также

Рекомендации по потоку обработки почты для Exchange Online, Microsoft 365 и Office 365 (обзор)

Настройка потока обработки почты с помощью соединителя